Бесплатно Экспресс-аудит сайта:

05.02.2015

Microsoft выплатила ZDI $125 тыс. за найденные уязвимости в Internet Explorer

Команда Zero Day Initiative (ZDI)  получила  награду в $125 тыс. в рамках программы Microsoft Mitigation Bypass Bounty and BlueHat Bonus for Defense Program за найденные уязвимости в браузере Internet Explorer.

Трое участников команды Брайан Горенк (Brian Gorenc), АбдулАзис Харири (AbdulAziz Hariri) и Саймон Цукербраун (Simon Zuckerbraun) получили главный приз в $100 тыс. после отправки отчета, в котором описали шаги и методы атаки, нацеленной на функции Isolated Heap и MemoryProtection, реализованные в последней версии Microsoft Internet Explorer. Специалисты также подробно описали, каким образом атакующий мог использовать MemoryProtection для обхода ASLR (Address space layout randomization).

Функционал MemoryProtection, так же как и ASLR, разработан для предотвращения успешной эксплуатации определенных уязвимостей типа использования после освобождения (use-after-free,UAF).

Кроме демонстрации и объяснения теоретической атаки на Internet Explorer, специалисты также предложили способ защиты системы от разработанного ими метода нападения, за что дополнительно получили $25 тыс.

Полученные деньги команда Zero Day Initiative намеревается пожертвовать трем образовательным учреждениям - Техасскому университету A&M, Университету Конкордия и Академии Хана.

Напомним, ранее на этой неделе стало  известно  об уязвимости в Internet Explorer, эксплуатация которой позволяет злоумышленникам обойти политику единства происхождения.